Ações que as vítimas de violação gostariam de ter tomado antes
Este artigo faz parte de uma série que visa educar os profissionais de segurança cibernética sobre as lições aprendidas pelas vítimas de violação. Cada lição incluirá recomendações simples, muitas das quais não exigem que as organizações comprem nenhuma ferramenta.
Conforme observado no Sophos Active Adversary Playbook 2021, os adversários estão recorrendo a ferramentas comumente usadas por administradores de TI e profissionais de segurança, dificultando a identificação de ações suspeitas. Muitas dessas ferramentas são detectadas por produtos de segurança como ‘aplicativos potencialmente indesejados’ (ou APIs / PUPs / RiskWare / RiskTool) e são necessárias para o uso diário das equipes de TI. Os defensores precisam fazer duas perguntas importantes: (1) Todos os meus usuários precisam ser capazes de usar esses utilitários? (2) Esses utilitários precisam ser executados em todos os dispositivos?
O que é uma PUA?
Vamos nos aprofundar no que é um ‘Aplicativo Potencialmente Indesejado’ e a melhor forma de usá-los com segurança. As ferramentas de administração que acompanham um sistema operacional, como o PowerShell, fornecem maneiras de automatizar e gerenciar dispositivos em uma rede. Existem também ferramentas adicionais e de terceiros que são frequentemente usadas para estender funcionalidades como varredura de portas, capturas de pacotes, scripts, monitoramento, ferramentas de segurança, compactação e arquivamento, criptografia, depuração, testes de penetração, administração de rede e acesso remoto. A maioria desses aplicativos é executada com acesso de nível de sistema ou raiz.
Quando instalados e usados internamente por sua própria equipe de TI, esses aplicativos são ferramentas úteis. Quando instalados e usados por qualquer outra pessoa, eles são considerados Aplicativos Potencialmente Indesejados (APIs) e geralmente são sinalizados como tal por soluções de segurança de endpoint respeitáveis. Para permitir que eles usem essas ferramentas sem impedimentos, muitos administradores simplesmente adicionam as que usam a uma Exclusão Global ou Lista de Permissões em sua configuração de segurança de endpoint. Infelizmente, esse método de exclusão também permite a instalação e uso das ferramentas por pessoas não autorizadas, muitas vezes sem nenhum tipo de monitoramento, alertas ou notificações.
APIs problemáticas
Algumas das APIs mais comuns encontradas e usadas por adversários incluem:
- PSExec – “…um substituto de telnet leve que permite executar processos em outros sistemas, completo com interatividade total para aplicativos de console, sem ter que instalar manualmente o software cliente. Os usos mais poderosos do PSExec incluem o lançamento de prompts de comando interativos em sistemas remotos e ferramentas de habilitação remota, como IpConfig, que de outra forma não têm a capacidade de mostrar informações sobre sistemas remotos.”
- PSKill – pode “matar processos em sistemas remotos. Você nem precisa instalar um cliente no computador de destino para usar o PSKill para encerrar um processo remoto.”
- Process Hacker – uma ferramenta de monitoramento de recursos, que é frequentemente usada para encerrar o software de segurança e registro.
- Anydesk / TeamViewer / RDPWrap – ou qualquer ferramenta projetada para acesso remoto, especialmente pela Internet, pode ser usada por um agente de ameaças.
- GMER – construído como uma ferramenta anti-rootkit, os agentes de ameaças aproveitam seus recursos para ‘desbloquear’ o processo de segurança.
- 7Zip / GZip / WinRar – Ferramentas de compactação são usadas por adversários para combinar, reduzir e exfiltrar seus dados – geralmente para extorsão.
- Ferramentas Nirsoft – uma coleção de ferramentas para recuperação de senha, desinstalação de software e a capacidade de executar ferramentas de linha de comando sem exibir uma interface de usuário.
- IOBit – possui poderosos recursos de desinstalação e é frequentemente usado para remover software de segurança.
- ProcDump – uma ferramenta de depuração que pode despejar memória no disco, permitindo que um agente de ameaças exponha dados na memória, como credenciais.
Uso de APIs por agentes de ameaças
A configuração da política de segurança para permitir APIs precisa ser tratada com cuidado. A exclusão de qualquer coisa exporá as ferramentas aos administradores de TI e aos agentes de ameaças, e você não terá visibilidade do uso da ferramenta, da intenção ou do contexto.
Se uma ferramenta tiver sido excluída, um agente de ameaças ainda poderá tentar instalá-la e usá-la, mesmo que ainda não esteja instalada em um dispositivo específico. O conjunto de técnicas contraditórias conhecidas como “vivendo da terra” envolve os agentes de ameaças usando recursos e ferramentas pré-existentes para evitar a detecção pelo maior tempo possível. Eles permitem que os agentes de ameaças realizem descoberta, acesso a credenciais, escalonamento de privilégios, evasão de defesa, persistência, movimento lateral, coleta e exfiltração sem que uma única bandeira vermelha seja levantada.
Quando o adversário estiver pronto para implantar o último estágio do ataque – impacto (por exemplo, a carga útil do ransomware) – é tarde demais; suas ferramentas de segurança já foram desabilitadas (por PSKill ou IOBit?), um alto nível de acesso de credenciais foi obtido (por GMER ou ProcDump?), seus dados já foram transferidos para a dark web (em arquivos 7Zip?) malware pré-posicionado em sistemas-chave (ou pior, compartilhamentos de arquivos em nível de domínio como SYSVOL ou NETLOGON) prontos para execução (por PSExec?). Quanto mais APIs os invasores puderem encontrar, maior será a superfície de ataque com a qual eles terão que trabalhar.
Permitindo APIs em sua organização
A primeira etapa é revisar suas exclusões globais atuais. Eles precisam estar lá? Existe uma razão citada para a exclusão – ou ela apenas ‘sempre existiu’? Conduza algumas pesquisas sobre por que o produto de segurança detectou o PUA em primeiro lugar – ele pode ser usado de forma maliciosa? As exclusões realmente precisam se aplicar a TODOS os servidores e dispositivos de usuários finais? A ferramenta de administração ainda é necessária ou podemos usar uma função integrada? Você precisa de mais de uma ferramenta para alcançar o mesmo resultado?
Nossa recomendação é permitir APIs de forma muito controlada – aplicação específica, máquinas específicas, horários específicos e usuários específicos. Isso pode ser feito por meio de uma política com a exclusão necessária, que é aplicada e removida conforme necessário. Qualquer uso detectado de APIs que não é esperado deve ser investigado, pois pode indicar que um agente de ameaça tem acesso ao seu ambiente.
do original em: https://news.sophos.com/en-us/2021/09/02/hindsight-5-exclude-admin-tools-with-a-scalpel-not-a-sledgehammer/